Lummaの新手の配布手法

Lummaは、インフォスティーラー型マルウェアです。
Webブラウザーのパスワード情報や暗号資産ウォレットを探し、情報を持ち出してしまいます。
Lummaは、少なくとも2022年8月には脅威活動が確認されていました。
最初の観測以降、いろいろな手法で脅威アクターに使用されてきているのですが、そんなLummaの最近の脅威活動が新たに観測されています。

  • 配布場所はPyPI
    PyPIは、Python Package Indexです。
    Pythonパッケージを管理するためのサービスで、誰でもパッケージを登録できます。
    ここが今回の配布場所になっています。
  • 戦術:公開名が似ている
    公開名は、crytic-compilersでした。
    PyPIで公開されているcrytic-compilersというパッケージがありました。
    これは、人気のあるパッケージに似た名前の別のものでした。
    人気のあるオリジナルのほうのパッケージは、crytic-compileです。
    名前は、ほぼ同じです。
    今回の例ではtypoではなく、末尾にありそうなものが余計にくっついている形式でした。
    オリジナルのcrytic-compileは、暗号資産開発者がブロックチェーンネットワークに保存されるデジタル契約のコンパイルを容易にするために使用することのあるパッケージです。
    暗号資産の関連する開発を行っている人の環境には、暗号資産のウォレットがあるんじゃないか、そんな想定なのでしょうか。
  • 戦術:バージョンが続きに見える
    オリジナルのcrytic-compileは最新のバージョンが0.3.7です。
    人気があり毎月多くダウンロードされていて、Starも多いです。
    マルウェア配布に使われるcrytic-compilersのバージョンは、0.3.7から始まり0.3.11まで順次インクリメントされたものが公開されています。
    いかにも名前を変えて開発を継続しているような体裁をとっています。
  • 戦術:オリジナルもついでに入れておく
    マルウェア配布手段であるcrytic-compilersは、インストールが開始されると、とりあえずオリジナルのパッケージも環境に展開します。
    これで早期にばれることは回避できるのかもしれません。
  • ターゲットはWindows環境
    配布パッケージが展開される中で、環境のOSの判定が行われます。
    判定結果がWindowsだった場合、ひとつのバイナリが取得され動作を開始します。
    バイナリの名称は、s.exeです。
    このバイナリは、含まれるIoCからLummaであると考えられています。
    LummaはダークウェブでMaaS(Malware as a Service)で提供されています。
    Lummaを入手した脅威アクターが考えた配布手法がこれだったということでしょう。

似た名前で公開して、バージョン番号が続きで、オリジナルのパッケージの動きも提供できる、そんな仕上がりでした。
すでにこの悪意あるパッケージの配布はできない状態になっていますが、この戦術は容易に他の脅威に転用できるものに思えます。
こんな手法の脅威があるということを踏まえ、日々気を付けていこうと思います。

Russia-linked ‘Lumma’ crypto stealer now targets Python devs

https://www.sonatype.com/blog/crytic-compilers-typosquats-known-crypto-library-drops-windows-trojan

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。